Mit dem Open-Source-Tool SAM können Admins die Telemetrie überwachen

Golem.de: 2019 gab es ungefähr 1.000 Messpunkte. Sind es mittlerweile noch mehr?

Winkler: Tatsächlich sind es weniger geworden. Aber davon darf man sich nicht täuschen lassen - weniger Daten werden nämlich nicht gesammelt. Stattdessen sind Messpunkte zusammengelegt worden, das heißt, die einzelnen Messpunkte stellen mehr Informationen zur Verfügung.

Vieles läuft in der Telemetrie mittlerweile über die Konfiguration. Da wird eine Konfigurationsdatei von Microsofts Backend heruntergeladen, die detailliert festlegt, welche Daten eine Telemetriekomponente einsammelt, welche Messpunkte dazugehören. Die Datei kann mehrmals täglich heruntergeladen werden, entsprechend dynamisch ist das alles.

Das individualisiert natürlich auch die Telemetriekonfiguration des einzelnen Rechners. Hier kann Microsoft auch regionsspezifische Konfigurationen vornehmen, um beispielsweise die unterschiedlichen Datenschutzgesetze in den verschiedenen Ländern zu berücksichtigen.

Golem.de: Eine Erkenntnis Ihrer Untersuchung war, dass Microsoft nicht nur Daten an Hunderten Messpunkten sammelt, sondern in einem zweiten Schritt weitere, spezifische Telemetriedaten anfordern kann. Ist das immer noch so?

Winkler: Diese zweite Phase der Datenerhebung gibt es immer noch. Sie wurde sogar weiter ausgebaut. Das Ganze funktioniert in etwa so: Wenn Microsoft der Meinung ist, dass es zu den bereits erhobenen Telemetriedaten weitere Informationen braucht, werden weitere Daten angefordert. Dazu kann die Telemetriekomponente einerseits Dateien ausführen, die schon auf dem System sind, beispielsweise Abfragen zur Ressourcennutzung.

Andererseits können Funktionen aufgerufen werden, die weitere Daten liefern. Das wurde in den neueren Windows-Versionen deutlich ausgebaut. So kamen beispielsweise neue Funktionen für den Zugriff auf Zertifikate und Schlüsselmaterial des Systems hinzu oder eine neue Funktion kann Informationen zu den Gerätetreibern abrufen. Auch das Aufzeichnen der Ausführung von einzelnen Prozessen ist jetzt möglich.

Insgesamt sind im Vergleich zur Telemetrie unter Windows 10 1607 in der Version 1809 alleine 14 externe Programme für die Ausführung durch die Telemetrie neu hinzugekommen.

Golem.de: Unter Windows 10 1607 konnte man den USB-Messpunkt als Keylogger missbrauchen. Ist das immer noch möglich?

Winkler: Da wird letztlich die technische Funktion des Messpunktes, der die USB-Nachrichten zur Verfügung stellt, genutzt. Bei jedem Tastendruck bekommt dieser eine entsprechende Benachrichtigung - also beispielsweise, dass die Taste A gedrückt wurde. Da kann man sich dann dranhängen und mitlesen, was in Sachen Tastatureingaben gerade passiert. Man kann das also weiterhin als Keylogger nutzen.

Golem.de: Was Microsoft an Telemetriedaten erhebt, kann man also gar nicht so genau sagen?

Winkler: Generelle Aussagen, welche Telemetriedaten gesammelt werden, können wir wegen der Dynamik dahinter nicht sagen. Wir können aber sehr genau sagen, welche Telemetriedaten auf einem System gesammelt werden, das wir untersuchen. Für die Analyse haben wir ein Tool geschrieben, das uns detailliert Auskunft darüber gibt. Das Tool haben wir jetzt für die Allgemeinheit veröffentlicht.

Golem.de: Das Tool haben Sie bisher nur intern genutzt. Nun haben Sie es veröffentlicht. Mit ihm können Admins jetzt also selbst nachsehen, was in Sachen Windows-Telemetrie auf dem System passiert?

Winkler: Das Tool heißt System Activity Monitor oder kurz SAM. Es ist ein kleines Kommandozeilenprogramm, mit dem man das Verhalten des Betriebssystems detailliert beobachten kann. Das Tool greift dazu auf das Event Tracing for Windows (ETW) zurück, also die Infrastruktur des Betriebssystems, die von der Windows-Telemetrie genutzt wird.

Dort werden Informationen dazu gesammelt, welche Anwendungen gestartet werden oder wie sie sich verhalten. Auf all diese Informationen kann man mit SAM zugreifen und beispielsweise sehen, welche Informationen die Telemetriekomponente gerade einsammelt, welche sie sendet. Die Software ist letztlich auch die technische Basis für unsere Analysen.

Golem.de: Wie verwende ich SAM?

Winkler: Das Tool kann entweder direkt gestartet und verwendet oder als Dienst genutzt werden. Um das Tool zu verwenden, muss man erst einmal festlegen, was man sehen möchte. Dazu braucht es ein sogenanntes Recording Profile, also eine XML-Datei, in der man festlegt, welche Messpunkte man im Betriebssystem erfassen möchte.

Um die Ergebnisse einzugrenzen, kann man Filter nutzen. Das Tool zeichnet die Ergebnisse standardmäßig im Eventlog auf, es besteht aber auch die Möglichkeit, sie lokal zu sichern. Das kann man dann wiederum an ein Backend wie ELK-Stack anbinden und dann komfortabel auswerten.

Neben dem Tool haben wir aber auch eine Anleitung veröffentlicht, in der man genau nachsehen kann, welche Messpunkte es gibt und wie man sie auswerten und welche Erkenntnisse man daraus ziehen kann.